P2Pinfect Malware

Trusselaktører udfører angreb på sårbare forekomster af SSH og Redis, et open source-datalager. Disse svigagtige aktører bruger en peer-to-peer selvreplikerende orm kendt som P2Pinfect, som har versioner designet til både Windows- og Linux-operativsystemer.

P2Pinfect-malwaren er udviklet i Rust-programmeringssproget og bruger mindst to metoder til at få indledende adgang til målsystemer. Den første metode udnytter en kritisk sårbarhed, der blev afsløret og rettet i 2022. Den anden metode udnytter en funktion i Redis, der muliggør replikering af hoveddatabasen for forbedret høj tilgængelighed og til at imødegå failover-scenarier.

P2Pinfect Malware bruger forskellige infektionsvektorer

I første omgang udnyttede P2PInfect en kritisk sårbarhed identificeret som CVE-2022-0543, som havde en maksimal alvorlighedsscore på 10 ud af 10. Denne sikkerhedsfejl påvirkede specifikt Debian-systemer og vedrørte en LUA-sandbox-escape-sårbarhed som følge af et pakkeproblem. Udnyttelsen af denne sårbarhed gav mulighed for fjernudførelse af kode, hvilket udgør en betydelig trussel mod berørte systemer.

Når en sårbar Redis-instans er kompromitteret ved hjælp af en indledende nyttelast, fortsætter P2PInfect med at downloade nye scripts og ondsindede binære filer, der er skræddersyet til det specifikke operativsystem. Desuden er den inficerede server optaget på malwarens liste over kompromitterede systemer. Efterfølgende integrerer malwaren den inficerede server i dens peer-to-peer-netværk, hvilket letter spredningen af ondsindede nyttelaster til fremtidige kompromitterede Redis-servere.

Forskere, der undersøgte P2PInfect, afslørede også en prøve, der demonstrerede kompatibilitet på tværs af platforme, hvilket indikerer, at malwaren var designet til at målrette mod både Windows- og Linux-miljøer. Denne særlige prøve indeholdt Portable Executable (PE) og ELF binære filer, hvilket gjorde det muligt at fungere på begge operativsystemer problemfrit. Interessant nok brugte denne variant en anden metode til indledende adgang, der udnyttede Redis-replikeringsfunktionen, som muliggør generering af nøjagtige replikaer af hoved-/leder Redis-forekomsten.

P2Pinfect Malware spreder og tilføjer de kompromitterede systemer til et botnet

Den primære nyttelast af malware er en ELF binær, smart skrevet i en kombination af C og Rust programmeringssprog. Ved udførelse udløser det Rust-komponenten af nyttelasten til at tage over.

Når den er aktiveret, fortsætter binæren med at foretage kritiske ændringer af SSH-konfigurationen på den målrettede vært. Den ændrer OpenSSH-serverkonfigurationen, så den ligner en næsten standardtilstand, og giver angriberen adgang til serveren gennem SSH-protokollen (Secure Shell) og aktiverer adgangskodegodkendelse. Dernæst genstarter trusselsaktøren SSH-tjenesten og tilføjer en SSH-nøgle til listen over autoriserede nøgler for den aktuelle bruger, hvilket sikrer uhindret adgang til det kompromitterede system.

I den efterfølgende fase implementerer angriberen et bash-script for at manipulere navnene på wget- og curl-binære filer. Scriptet verificerer også tilstedeværelsen af specifikke hjælpeprogrammer og installerer dem, hvis de ikke allerede er tilgængelige. Brugen af et firewall-værktøj ser ud til at være en foranstaltning, der anvendes af malwaren til at beskytte den sårbare Redis-server fra andre potentielle angribere. Malwaren etablerer persistens på den kompromitterede vært og sikrer dens kontinuerlige drift.

Efterfølgende er den inficerede server udstyret med mindst én binær, der er i stand til at scanne gennem /proc-mappen og få adgang til statistikken for hver proces deri. Derudover kan binæren aktivt overvåge /proc-mappen for eventuelle ændringer.

Ydermere besidder binæren kapaciteten til at opgradere den primære malware-binære og udføre den, hvis den aktuelle signatur ikke matcher den, der er hentet fra botnettet.

Ved at behandle hver kompromitteret Redis-server som en node, transformerer P2PInfect netværket til et peer-to-peer-botnet. Dette botnet fungerer uden behov for en centraliseret Command-and-Control (C2) server, hvilket giver det mulighed for at modtage instruktioner selvstændigt.